> Cloud > Cloud Computing dans le secteur bancaire – Comment mettre en œuvre les exigences de conformité ?

Cloud Computing dans le secteur bancaire – Comment mettre en œuvre les exigences de conformité ?

Cloud - Par Lenildo Morais - Publié le 19 juillet 2022
email

Il est incontestable que le secteur bancaire bénéficie également de l'externalisation des services vers le cloud grâce à une plus grande agilité et des avantages en termes de coûts. En outre, les banques ont libre accès à une expertise qui, autrement, devrait être développée ou développée en interne, par exemple dans le domaine de la sécurité.

Cloud Computing dans le secteur bancaire – Comment mettre en œuvre les exigences de conformité ?

Qu’est-ce qui empêche la migration ? Incertitude quant aux exigences de conformité dans les institutions financières. Il existe un grand nombre de normes qui nécessitent souvent beaucoup d’interprétation. Cet article donne un aperçu des solutions organisationnelles et techniques que les banques, les fournisseurs de cloud et les fournisseurs de services informatiques peuvent adopter ensemble pour assurer la conformité.

Exigences réglementaires pour les banques

Garantir la sécurité des données et la protection des données personnelles, ainsi que la continuité des activités, les exigences des banques lors de la migration vers le cloud sont élevées. Les institutions financières sont soumises à un réseau complexe de directives qui doivent être respectées lors de l’externalisation de services vers le cloud.

Les banques sont tenues de sélectionner avec soin leurs prestataires de services SaaS. Malgré la migration des services vers des environnements cloud, la responsabilité de ces services incombe toujours à l’institution financière, car les risques ne peuvent pas être délégués. Cependant, le fournisseur de solutions SaaS peut assister la banque dans l’évaluation et la gestion des risques. Afin d’être en mesure de gérer efficacement les risques des services externalisés, les banques ont l’obligation de surveiller leur fournisseur SaaS. Pour ce faire, la banque et son régulateur ont besoin de droits d’audit et d’un accès effectif à toutes les données à tout moment. Pour garantir cela, certains fournisseurs SaaS ainsi que les fournisseurs d’infrastructure sous-jacents proposent des extensions aux contrats standard qui accordent aux banques ces droits spéciaux.

L’entrepreneur a également certaines responsabilités. Il est responsable de la gestion des risques des services externalisés, dont il doit toujours informer l’institution financière. De plus, il est de votre devoir de protéger les informations qui vous sont confiées. Ensemble, le fournisseur de services SaaS et la banque doivent élaborer un plan de continuité des activités qui est périodiquement testé.

Solutions techniques et organisationnelles : le modèle de responsabilité partagée

Une solution institutionnelle pour assurer la conformité dans l’externalisation des services financiers est le modèle dit de responsabilité partagée. Ici, il est clairement défini laquelle des trois parties (banque, fournisseur SaaS et fournisseur de cloud) a quelles responsabilités dans le processus. Mais au-delà de cela, les tiers et les fournisseurs de cloud peuvent atténuer les préoccupations existantes des banques en se considérant comme des partenaires des institutions financières et en les soutenant avec leur expertise.

Lenildo Morais

Ce n’est que s’ils prennent vos préoccupations au sérieux et fournissent les ressources nécessaires pour assurer la conformité que les banques seront conquises par le cloud public et les solutions SaaS.

Téléchargez cette ressource

Checklist de protection contre les ransomwares

Checklist de protection contre les ransomwares

Comment évaluer votre niveau de protection contre les ransomwares à la périphérie du réseau, et améliorer vos défenses notamment pour la détection des ransomwares sur les terminaux, la configuration des appareils, les stratégies de sauvegarde, les opérations de délestage... Découvrez la check list complète des facteurs clés pour améliorer immédiatement la sécurité des terminaux.

Responsabilités des institutions financières

La mise en œuvre des directives de conformité commence par une sélection rigoureuse du fournisseur de services informatiques.

Dans le modèle de responsabilité partagée, assurer la conformité de bout en bout, c’est-à-dire la responsabilité ultime de l’utilisation sûre et appropriée des services externalisés, incombe à l’institution financière elle-même de maintenir une vue d’ensemble à tout moment. Les meilleures pratiques à cet égard sont la gestion des risques (par exemple, selon la norme ISO/IEC 27005), le choix d’une approche intégrée, assistée par des outils, avec un aperçu en temps réel de l’efficacité des mesures existantes et du statut actif. des mesures planifiées, ainsi que la cartographie des mesures aux normes de l’industrie telles que ISO/IEC 27001 En outre, il devrait y avoir une réévaluation annuelle des risques, des audits et des tests internes et externes réguliers pour l’efficacité des mesures, et l’intégration de la gestion des risques . risques dans le processus de développement de nouveaux services.

Les banques sont également chargées de contrôler les changements et de surveiller la performance des services externalisés. Chaque entreprise doit suivre le rythme de la migration vers le cloud, la formation régulière du personnel est encore plus importante pour ancrer la sensibilisation à la sécurité dans l’organisation et adapter les processus en conséquence.

Les banques peuvent garantir une configuration sécurisée en mettant en œuvre une authentification unique (SSO), des politiques de mot de passe, une authentification multifacteur, des autorisations d’accès et des procédures de vérification en deux étapes pour des processus spécifiques.

 

Rôles des fournisseurs SaaS

Dans ce modèle, le fournisseur de plateforme bancaire doit déjà se concentrer sur la sécurité des données lors du développement de la solution SaaS.

Diverses mesures de sécurité peuvent être mises en œuvre pour assurer la meilleure protection possible des données des institutions financières, par exemple dans le domaine du cryptage et de la gestion des clés. Les données client transmises sur les réseaux publics doivent toujours être cryptées en transit. Toutes les données des clients sont également stockées cryptées. Les clés doivent être stockées en toute sécurité et ne doivent être accessibles qu’aux services qui en ont besoin. Ils doivent également être alternés régulièrement.

Des mesures peuvent également être prises dans la zone de contrôle d’accès. L’accès pour les équipes d’assistance et techniques doit être techniquement limité et enregistré. L’accès client peut être restreint en fonction des plages d’adresses IP ou des connexions d’appairage VPN/VPC si la banque opte pour des instances dédiées.

Les tests de régression et de migration automatisés garantissent un traitement cohérent à mesure que la solution évolue, garantissant ainsi l’intégrité des données. Les données financières sont stockées dans des bases de données relationnelles qui permettent aux transactions financières d’être entièrement traitées et rapprochées sur deux serveurs pour garantir leur intégrité. Des sauvegardes doivent être disponibles et régulièrement testées afin que vous puissiez récupérer les données si les problèmes persistent.

De plus, assurer la continuité des activités est essentiel. Pour ce faire, il effectue des tests réguliers de bout en bout pour vérifier que les objectifs de temps de récupération et de point de récupération garantis sont atteints. En cas d’urgence, il faut également s’assurer que les banques elles-mêmes peuvent résoudre l’incident. À cette fin, certains fournisseurs de services informatiques proposent un service de séquestre de code source qui permet aux clients d’accéder à des ressources telles que le code source de la solution utilisée et de la documentation critique, ainsi qu’à un rapport de vérification. Ce rapport tiers fournit un guide étape par étape sur la façon de reconstruire la solution en utilisant uniquement des matériaux déposés pour assurer la continuité des activités. Les API de sauvegarde pour un accès efficace aux données permettent la sauvegarde et l’importation ultérieure de l’état actuel des données.

En outre, le tiers est chargé d’isoler efficacement les environnements client et d’appliquer les contrôles de sécurité configurés par le client. La mission du fournisseur de cloud relève également du domaine de responsabilité du tiers. Les pratiques de sécurité à prendre en compte, y compris la continuité des activités et la reprise après sinistre, sont définies dans la norme ISO/IEC 27001.

En outre, le fournisseur de services informatiques peut aider les banques à respecter les exigences de conformité en facilitant un accès efficace aux données et aux installations commerciales, ce qui est requis par la réglementation. Ils peuvent rendre le processus encore plus facile avec des accords de traitement de données prêts à l’emploi qui spécifient que les fournisseurs SaaS sont des processeurs de données, et non des contrôleurs de données. En donnant accès à des informations documentées sur les processus et politiques internes, les modèles de contrat, les certifications de sécurité externes et les rapports d’audit, les mesures de performance des services et les garanties externes de test de reprise après sinistre, les tiers peuvent aider les banques à évaluer les risques .

 

Responsabilités du fournisseur de Cloud

Le fournisseur de Cloud, en tant que tiers dans le modèle de responsabilité partagée, doit configurer l’infrastructure afin que le tiers puisse l’utiliser pour assurer la continuité des activités et la reprise après sinistre. Avec un grand nombre de centres de données dans différentes régions, il assure la haute disponibilité de vos services et réduit le risque de pannes. Le fournisseur de cloud est également soumis au SLA et doit garantir des performances élevées.

Selon ISO/IEC 27001, il doit également assurer la sécurité de son data center et de ses services. Certains fournisseurs proposent également des solutions de sécurité prédéfinies qui peuvent être activées avec des modifications de configuration mineures. Pour faciliter la migration, les fournisseurs peuvent développer des cadres basés sur des listes de contrôle qui aident les banques à mettre en œuvre toutes les exigences.

 

Il n’y a pas de migration sans coopération

Malgré la situation juridique complexe lors de la migration des services bancaires, les institutions financières peuvent également bénéficier des avantages d’une solution cloud.

La clé en est la coopération étroite entre la banque, le fournisseur SaaS et le fournisseur de cloud, ainsi que l’attribution précise des responsabilités, c’est le seul moyen de rester conforme même lorsque de nouvelles réglementations sont émises ou que les risques changent.

 

 

Cloud - Par Lenildo Morais - Publié le 19 juillet 2022